Камеры, которые смотрели не только на вас.
История, после которой на «умные» камеры дома начинаешь смотреть немного иначе. Исследователь Сэмми Аздуфаль проверил обычную радионяню, которую его коллега купила на Amazon.
Вопрос был простой: безопасно ли это устройство? Ответ оказался неприятным.
Выяснилось, что за красивыми коробками разных брендов часто стоит одна и та же платформа Meari Technology. Камеры, прошивки, облако, мобильные приложения - всё общее. А логотипы на коробках разные: Arenti, BOIFUN, COCOCAM, PetTec, SV3C, Joystek, Luvion и сотни других.
Проблема в том, что брешь затронула не пару устройств, а примерно 1,1 млн камер в 118 странах. По данным исследования, любой пользователь с обычной учетной записью мог получать данные с чужих устройств: уведомления о движении, снимки, серийные номера камер, e-mail владельцев, внешние IP-адреса и даже ссылки на видеозаписи.
Отдельный шедевр - снимки с камер лежали в Alibaba Cloud без нормальной авторизации и без срока действия ссылок. То есть камера фиксирует движение, отправляет картинку в облако, а дальше доступ к ней может получить не только владелец. И это не «сложный хак из кино». В отчете описано, что в экосистеме использовались общие ключи, слабая защита и одинаковые элементы для множества white-label брендов. А заменить такие ключи нормально можно только через перепрошивку устройств. Что в реальности означает: значительная часть камер, скорее всего, так и останется жить в старом состоянии.
Вот в этом и главная проблема умного дома. Мы покупаем не камеру. Мы покупаем чужую облачную инфраструктуру, чужую прошивку, чужую политику безопасности и чужое отношение к нашим данным.
А потом удивляемся, что радионяня внезапно становится не устройством для родителей, а потенциальным окном в квартиру.
Шурыгин.IT - про технологии без иллюзий
